Phishing a Vishing: Jaká jsou současná rizika internetového bankovnictví?
Obě strategie kybernetických útočníků využívají společnou zbraň – techniky sociálního inženýrství. Míří tak přímo na naše emoce. Jak se nenechat podvést a na co si dát pozor?
Phishing je v českém prostředí hrozbou, před kterou bezpečnostní experti varují dlouhodobě. Jedná se o kybernetický útok, při kterém se útočník pomocí technik sociálního inženýrství vydává za někoho jiného, ke komu máme důvěru. Nejčastěji se s ním můžeme setkat v podobě e-mailu. Může to být zpráva zdánlivě od přepravní společnosti, jiné firmy či úřadu. Odesílateli jsou ale útočníci, jejichž cílem jsou vaše citlivá data.
Vishing je podobným typem strategie s tím hlavním rozdílem, že probíhá prostřednictvím telefonního hovoru. Při tomto útoku se útočník také snaží přesvědčit uživatele k vyzrazení citlivých informací či ho přimět k nějaké aktivitě. Zpravidla se vydává za nějakou důvěryhodnou osobu – zástupce banky, známé instituce, poskytovatele IT služeb či policii – a vymyslí si naléhavou záležitost, kterou musíte okamžitě vyřešit. Nezřídka v pozdní večerní či brzkou ranní hodinu, kdy nemusíme být tak opatrní.
Útoky bývají úspěšné, protože pracují s našimi emocemi. Nejčastěji to je strach a zvědavost. Útočníci využívají toho, že uživatelé jsou nepozorní nebo zrovna ve stresu, případně se je snaží cíleně vystresovat.
Častým cílem je získání přístupů k bankovnímu účtu
Phishing a vishing často cílí právě na přihlašovací údaje k bankovním službám. Že se v Česku stále jedná o aktuální téma, dokládají i výsledky Kybertestu, interaktivního edukativního projektu České bankovní asociace, společnosti ESET a Policie ČR. Dle dosavadních výsledků Češi stále s jistotou nepoznají podvodné e-maily.
Experti proto opakovaně apelují na skutečnost, že banky nikdy nevyžadují citlivé informace jako jsou hesla, přihlašovací údaje do internetového bankovnictví, čísla platebních karet či jejich CVV kódy, ani jakýkoliv vzdálený přístup do klientova počítače a jeho internetového bankovnictví.
Jaké jsou varovné signály při aktivitě útočníků?
- V případě podezřelého e-mailu často neodpovídá jméno odesílatele a část adresy v doméně (za zavináčem) oficiální adrese domnělé služby. Tento trik útočníci často používají, pokud napodobují známou firmu nebo bankovní instituce.
- Autor e-mailové zprávy vás často nutí reagovat okamžitě nebo v jasně definovaném a velice krátkém časovém limitu. V takovém případě doporučují odborníci postupovat obzvláště obezřetně a dobře si sdělení prověřit.
- Pokud obdržíte telefonický požadavek nebo e-mail z domnělé banky, buďte obezřetní. Finanční instituce nikdy nevyžadují hesla, PIN nebo CVV kódy z karet. Citlivé údaje nikdy nepotvrzujte po telefonu.
- Pokud máte pocit, že nějaký telefonát není v pořádku, důsledně si prověřte identitu volajícího. Můžete po něm žádat jméno, a to si ověřit u organizace, kterou má zastupovat. Dotazujte se na interní informace, například číslo smlouvy, adresy, jméno obchodního zástupce, se kterým jste zvyklí jednat, nebo například výši měsíční faktury. Jedná se o údaje, které nejdou zjistit z žádného úniku dat.
- Pokud si nejste jistí, neváhejte podezřelý telefonát ukončit a zavolat přímo na oficiální linku poskytovatele služby. Skutečný operátor to pochopí, falešný vám to bude rozmlouvat.
Mimo zmíněná doporučení přispěje k vašemu bezpečí na internetu několik bezpečnostních zásad. Používejte více faktorové ověřování na všech online účtech. Zpravidla jde o SMS kód nebo potvrzení ve spárované aplikaci. Tuto službu standardně nabízí banky nebo poskytovatelé e-mailových schránek. A není již výjimkou ani u sociálních sítí.
Aktualizujte si pravidelně také softwarové vybavení počítače a dalších zařízení. Před podvody dále ochrání spolehlivý bezpečnostní program, který obsahuje funkci anti-phishing.
Phishing může také přijít do schránek dětí nebo seniorů, kteří nemusejí mít tolik zkušeností s online podvody a mohou tudíž být zranitelnější. Společnost ESET proto nabízí rodinné řešení pro zabezpečení počítačů i chytrých telefonů všech členů domácnosti.
Zdroj: www.eset.cz